【证书知识】HTTPS、SSL、TLS、CA简要介绍

最新推荐文章于 2024-03-02 00:40:48 发布
最新推荐文章于 2024-03-02 00:40:48 发布
阅读量3k 收藏 3
点赞数
分类专栏: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013958257/article/details/107326809
版权

HTTPS、SSL、TLS三者之间的联系和区别

HPPTS是HTTP+SSL/TCP的简称
TLS就是SSL的新版本3.1

TLS/SSL是什么?

SSL:(Secure Socket Layer,安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。该协议由两层组成:SSL记录协议和SSL握手协议。

TLS:(Transport Layer Security,传输层安全协议),用于两个应用程序之间提供保密性和数据完整性。该协议由两层组成:TLS记录协议和TLS握手协议。

TLS/SSL是一种加密通道的规范,它们利用对称加密、公私钥不对称加密及其密钥交换算法,CA系统进行加密且可信任的信息传输

在HTTP SSL中常用的对称加密算法有RC4,AES,3DES,Camellia等

什么是证书?

  • “证书 – 为公钥加上数字签名”

公钥证书(Public-Key Certificate,PKC)其实和驾照很相似,里面记有姓名、组织、邮箱地址等个人信息,以及属于此人的公钥,并由认证机构(Certification Authority、Certifying Authority, CA)施加数字签名。只要看到公钥证书,我们就可以知道认证机构认定该公钥的确属于此人。公钥证书也简称为证书(certificate)。

CA证书 = 服务端公钥 + 认证机构的数字签名

证书的应用场景?

  1. A生成了一对公钥a.crt和私钥a.key。
  2. 认证机构B,用自己的私钥b.key对A的公钥a.crt施加数字签名并生成证书ca.crt。
  3. C使用认证机构B的公钥b.crt来验证B在ca.crt中数字签名,确定A的公钥的合法性。
  4. C用a的公钥加密的消息并发给A。

证书标准规范x.509

X.509标准定义了证书中应该包含哪些信息,并描述了这些信息是如何编码的(即数据格式)

一般来说,一个数字证书内容可能包括基本数据(版本、序列号) 、所签名对象信息( 签名算法类型、签发者信息、有效期、被签发人、签发的公开密钥)、CA的数字签名,等等。

证书规范

前使用最广泛的标准为ITU和ISO联合制定的X.509的 v3版本规范 (RFC5280), 其中定义了如下证书信息域:

版本号(Version Number):规范的版本号,目前为版本3,值为0x2;
Version: 3 (0x2)

序列号(Serial Number):由CA维护的为它所发的每个证书分配的一的列号,用来追踪和撤销证书。只要拥有签发者信息和序列号,就可以唯一标识一个证书,最大不能过20个字节;
Serial Number: 0 (0x0)

签名算法(Signature Algorithm):数字签名所采用的算法,如:sha256-with-RSA-Encryption,ccdsa-with-SHA2S6
Signature Algorithm: sha256WithRSAEncryption

颁发者(Issuer):发证书单位的标识信息,如 ” C=CN,ST=Beijing, L=Beijing, O=org.example.com,CN=ca.org。example.com ”;
Issuer: CN=etcd-ca

有效期(Validity): 证书的有效期很,包括起止时间。
Validity
    Not Before: Jun 18 02:25:38 2020 GMT
    Not After : Jun 16 02:25:38 2030 GMT

主体(Subject) : 证书拥有者的标识信息(Distinguished Name),如:" C=CN,ST=Beijing, L=Beijing, CN=person.org.example.com”;
Subject: CN=etcd-ca

主体的公钥信息(SubJect Public Key Info):所保护的公钥相关的信息:

   公钥算法 (Public Key Algorithm)公钥采用的算法;

   Public Key Algorithm: rsaEncryption

   主体公钥(Subject Unique Identifier):公钥的内容。

颁发者唯一号(Issuer Unique Identifier):代表颁发者的唯一信息,仅2、3版本支持,可选;

主体唯一号(Subject Unique Identifier):代表拥有证书实体的唯一信息,仅2,3版本支持,可选:

扩展(Extensions,可选): 可选的一些扩展。中可能包括:

  Subject Key Identifier:实体的秘钥标识符,区分实体的多对秘钥;
  Basic Constraints:一指明是否属于CA;
     CA:TRUE
  Authority Key Identifier:证书颁发者的公钥标识符;
  CRL Distribution Points: 撤销文件的颁发地址;
  Key Usage:证书的用途或功能信息。
此外,证书的颁发者还需要对证书内容利用自己的私钥添加签名, 以防止别人对证书的内容进行篡改。

数字签名

数字签名就像一个人的指纹,也可以称为文件指纹,具有唯一性。

证书格式

X.509规范中一般推荐使用PEM(Privacy Enhanced Mail)格式来存储证书相关的文件。证书文件的文件名后缀一般为 .crt 或 .cer 。对应私钥文件的文件名后缀一般为 .key。证书请求文件的文件名后綴为 .csr 。有时候也统一用pem作为文件名后缀。

PEM格式采用文本方式进行存储。一般包括首尾标记和内容块,内容块采用Base64进行编码。

编码格式总结:
X.509 DER(Distinguished Encoding Rules)编码,后缀为:.der .cer .crt
X.509 BASE64编码(PEM格式),后缀为:.pem .cer .crt

而kubernetes的证书格式
私钥        .key
证书请求文件  .csr
证书        .crt

CA证书

  • CA颁发的证书

证书信任链

证书直接是可以有信任关系的, 通过一个证书可以证明另一个证书也是真实可信的. 实际上,证书之间的信任关系,是可以嵌套的。比如,C 信任 A1,A1 信任 A2,A2 信任 A3…这个叫做证书的信任链。只要你信任链上的头一个证书,那后续的证书,都是可以信任滴。

引用

数字证书及CA详解

一文看懂HTTPS、证书机构(CA)、证书、数字签名、私钥、公钥

数字签名是什么

^白开水^
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
HTTPS CA证书TLS建立过程
09-20
自己在网上搜了好多资料,根据自己的理解整理了HTTPSCA证书TLS建立的过程,简单画了个图
TLSSSLCA是如何保证互联网安全的
u014389734的博客
01-04 579
你的浏览器里的锁的图标的后面是什么? 每天你都会重复这件事很多次,访问网站,网站需要你用你的用户名或者电子邮件地址和你的密码来进行登录。银行网站、社交网站、电子邮件服务、电子商务网站和新闻网站。这里只在使用了这种机制的网站中列举了其中一小部分。 每次你登录进一个这种类型的网站时,你实际上是在说:“是的,我信任这个网站,所以我愿意把我的个人信息共享给它。”这些数据可能包含你的姓名、性别、实际地...
mTLS: TLS/CA/证书 简介
最新发布
Mr_rain的专栏
03-02 695
简称英文全称中文全称CA证书颁发机构PCA私有证书颁发机构,又名私有 CASSL安全套接字层协议TLS传输层安全性协议HTTP超文本传输协议HTTPS超文本传输安全协议EV SSLEV 证书,又名扩展验证证书OV SSLOV 证书,又名组织验证证书DV SSL证书,又名域验证证书通配符证书MDC多域 SSL 证书UCC统一通信证书TLD顶级域PKI公钥基础设施OCSP在线证书状态协议CSP加密服务提供商Public key公钥私钥。
CA证书TLS介绍
langyaxiaoxiao的专栏
05-19 20
数字签名 用自己的私钥给数据加密就叫数字签名 公钥传输威胁 在A和B的通信中,C可以把自己的公钥发给A,让A把C的公钥当成B的公钥,这样的话.B拿到加密数据反而无法解密,而C却可以解密出数据.从而实现C截获AB之间的数据 所以在两者的通信中必须要对公钥的来源进行确认 A和B如果想安全交换公钥,就必须通过CA(证书颁发机构) 证书的通信过程 A和B首先都内...
SSL/TLS 区别与应用 CA证书
杨义权的博客
01-27 356
SSL/TLS HTTP协议与TCP之间的一个可选层,用于数据安全传输。 SSL TLS CA证书 服务端/客户端证书 基础信息 基础概念 认证方式 OpenSSL 生成证书 生成pfx证书 https://blog.csdn.net/yiquan_yang/article/details/113250364 生成Nginx证书 生成后需要将Nginx证书目录/etc/cert映射到证书目录,或则将证书拷贝到该目录,在访问HTTPS时需要将证书加入可信任机构,将ca.pem改名为ca.crt后
TLSSSLCA 证书、公钥、私钥
nbspzs的专栏
07-05 2130
现在当我们的电脑需要访问该网站的时候,该网站就会给我们发来一个证书 B,由于我们的浏览器并不知道 B 证书是否合法,但是我们的电脑上已经预装了 A 证书,我们可以从 A 证书中提取出 A 的公钥,然后利用 A 的公钥对 B 证书的签名进行验证(因为 B 证书的签名是 A 的私钥签的),如果验证通过了,就说明 B 是合法的。被访问的网站提供了一个证书,这个证书是由一个操作系统所信任的证书颁发机构签发的,操作系统所信任的证书颁发机构一般都预装在操作系统中,通过第一步的方式可以查看。
TLSCA证书申请流程
阿里云专家博主,51CTO专家博主、2022年博客之星Top96,嵌入式与物联网赛道Top2
12-04 2355
TLSCA证书申请流程
linux 运行ca.crt,linux下生成https的crt和key证书
weixin_36354965的博客
05-09 2430
今天在配置kibana权限设置时,kibana要求使用https链接。于是总结了一下linux下openssl生成 签名的步骤:x509证书一般会用到三类文,key,csr,crtKey 是私用密钥openssl格,通常是rsa算法。Csr 是证书请求文件,用于申请证书。在制作csr文件的时,必须使用自己的私钥来签署申,还可以设定一个密钥。crt是CA认证后的证书文,(windows下面的,其实是...
深入浅出 SSL/CA 证书及其相关证书文件(pem、crt、cer、key、csr)
热门推荐
曹立禄的个人博客
03-30 1万+
与手动从网站收集数据相比,爬虫可以为我们节省很多时间,对于爬虫的每次请求而言,这相当于 AWS Lambda 的每次函数的运行。AWS Lambda 是一种将脚本部署到云的简单且价格低廉的服务,如果我们要实现在 AWS Lambda 上运行 selenium 实现数据的爬取,我们需要解决如何在 AWS Lambda 函数中安装 Chrome 浏览器?同时,AWS Lambda 的主要限制是超时限制,即 15 分钟,部署包不能超过 250 MB(但使用容器最多可接受10 GB)。
HTTPS的理解(证书、认证方式、TLS握手)
迷雾总会解
09-12 5266
HTTP 存在的问题没有加密,无法保证通信内容不被窃听。没有报文完整性验证,无法确保通信内容在传输中不被改变。没有身份鉴别,无法让通信双方确认对方身份。HTTP over SSL,在 HTTP 传输上增加了传输层安全性(TLS)或安全套接字层(SSL),通过信息加密、数据完整性校验、身份鉴别为 HTTP 事务提供安全保证。SSL 会对数据进行加密并把加密数据送往 TCP 套接字,在接收方,SSL 读取 TCP 套接字的数据并解密,把数据交给应用层。
TLSSSLCA 证书、公钥、私钥。。。今天捋一捋!
江南一点雨的专栏
03-23 3219
松哥最近在和小伙伴们连载 gRPC,如何确保 gRPC 通信的安全性?这就涉及到 TSL 了,但是考虑到可能有小伙伴对加密连接这一整套方案比较陌生,因此我们今天先用一篇文章跟大家捋清楚这些概念,概念搞明白了,再来看 TSL+gRPC 就很容易了。
catkeys:使用客户端证书进行相互认证的TLSSSL加密
05-01
生成私钥,证书CA的复杂性可以通过简单的命令来解决。 密钥打包为单个文件,可以轻松放置在客户端上,以授予对服务器的访问权限。 生成服务器和客户端密钥,然后使用该库作为替换的替代品,在您使用...
certstrap:用于引导CA证书请求和签名证书的工具
01-28
一个用Go编写的简单证书管理器,用于引导您自己的证书颁发机构和公共密钥基础结构。 改编自etcd-ca。 如果您不想处理openssl,其众多选项或配置文件,certstrap是一个非常方便的应用程序。 常见用途 certstrap允许...
sbuca:简单但有用的证书颁发机构
06-29
在开发时,为 SSL/TLS 使用生成证书总是很痛苦。 sbuca是一个简单的 CA,可帮助您以无痛的方式生成您所需要的内容。 目前的特点: 生成 rsa 密钥(无需连接服务器) 生成认证请求(无需连接服务器) 向sbuca CA...
openssl生成认证证书的工具
10-21
最简单的方法,直接用java里的keytool工具生成一个keystore文件,然后直接用这个文件启用https就可以了。 方法如下: 命令行执行%JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA 执行过程中会询问你一些...
【k8s 1.18.3异常bug】掉电后kubernetes无法启动异常
白开水的博客
06-27 6567
掉电后kubernetes无法启动异常问题描述定位问题合理的创建标题,有助于目录的生成etcd异常分析etcd:failed to find [SNAPSHOT-INDEX].snap.db解题思路数据库不备份就是耍流氓复习下etcd备份命令恢复修复损坏etcd的数据文件 问题描述 单节点kubernetes 1.18.3 集群在掉电后重启后,kubectl命令无法找到apiserver # kubectl get pods The connection to the server 192.168.145.
【kubernetes】配置ingress使用hostNetwork作为接入端口
白开水的博客
07-18 5414
概述 网上多数教程是将ingress开启nodeport,这种方式也能达到暴露ingress端口到主机的目的,但是要么需要制定端口,要么使用随机端口。    而另外一种方式是,通过hostNetwork方式共享主机网络,通过nodeSelector来固定选取的node节点,从而使外部流量通过F5/A10/nginx接入后负载到nodeSelector选择的节点上。 官方ingress的部署文档 https://github.com/kubernetes/ingress-nginx/blob/nginx-0.
【kubernetes 1.18.3】failed to get cgroup stats for “/system.slice/docker.service“
白开水的博客
07-04 3887
原因:kubernetes和docker版本兼容性问题 vim 编辑 /var/lib/kubelet/kubeadm-flags.env文件 添加 --runtime-cgroups=/systemd/system.slice --kubelet-cgroups=/systemd/system.slice
mbedTLS如何交换数字证书
06-10
要在mbedTLS中进行数字证书交换,需要以下步骤: 1. 生成RSA密钥对 使用mbedtls_pk_context结构体可以生成RSA密钥对,以下是一个简单的示例: ``` mbedtls_pk_context pk; mbedtls_ctr_drbg_context ctr_drbg; mbedtls_entropy_context entropy; const char* pers = "gen_key"; // 初始化随机数生成器 mbedtls_entropy_init(&entropy); mbedtls_ctr_drbg_init(&ctr_drbg); if (mbedtls_ctr_drbg_seed(&ctr_drbg, mbedtls_entropy_func, &entropy, (const unsigned char*)pers, strlen(pers)) != 0) { // 错误处理 } // 生成RSA密钥对 if (mbedtls_pk_setup(&pk, mbedtls_pk_info_from_type(MBEDTLS_PK_RSA)) != 0) { // 错误处理 } if (mbedtls_rsa_gen_key(mbedtls_pk_rsa(pk), mbedtls_ctr_drbg_random, &ctr_drbg, 2048, 65537) != 0) { // 错误处理 } ``` 2. 生成自签名数字证书 使用mbedtls_x509write_cert结构体可以生成自签名数字证书,以下是一个简单的示例: ``` mbedtls_x509write_cert crt; mbedtls_x509write_crt_init(&crt); // 设置证书版本号 mbedtls_x509write_crt_set_version(&crt, MBEDTLS_X509_CRT_VERSION_3); // 设置证书序列号 mbedtls_x509write_crt_set_serial(&crt, serial, sizeof(serial)); // 设置证书签名算法 mbedtls_x509write_crt_set_md_alg(&crt, MBEDTLS_MD_SHA256); // 设置证书有效期 mbedtls_x509write_crt_set_validity(&crt, "20210101000000", "20301231235959"); // 设置证书主题 mbedtls_x509write_crt_set_subject_name(&crt, "CN=MySelf"); // 设置证书颁发者 mbedtls_x509write_crt_set_issuer_name(&crt, "CN=MySelf"); // 设置证书公钥 mbedtls_x509write_crt_set_subject_key(&crt, &pk); // 生成证书 if (mbedtls_x509write_crt_der(&crt, buf, buf_size, mbedtls_ctr_drbg_random, &ctr_drbg) < 0) { // 错误处理 } mbedtls_x509write_crt_free(&crt); ``` 3. 导入数字证书 使用mbedtls_x509_crt结构体可以导入数字证书,以下是一个简单的示例: ``` mbedtls_x509_crt cert; mbedtls_x509_crt_init(&cert); // 导入数字证书 if (mbedtls_x509_crt_parse(&cert, cert_buf, cert_size) != 0) { // 错误处理 } ``` 4. 进行证书交换 使用mbedtls_ssl_context结构体可以进行SSL/TLS连接,以下是一个简单的示例: ``` mbedtls_ssl_context ssl; mbedtls_ssl_init(&ssl); // 设置SSL/TLS连接参数 if (mbedtls_ssl_config_defaults(&conf, MBEDTLS_SSL_IS_CLIENT, MBEDTLS_SSL_TRANSPORT_STREAM, MBEDTLS_SSL_PRESET_DEFAULT) != 0) { // 错误处理 } mbedtls_ssl_conf_ca_chain(&conf, &cert, NULL); if (mbedtls_ssl_conf_own_cert(&conf, &cert, &pk) != 0) { // 错误处理 } mbedtls_ssl_setup(&ssl, &conf); // 连接服务器 if (mbedtls_ssl_set_hostname(&ssl, hostname) != 0) { // 错误处理 } mbedtls_ssl_set_bio(&ssl, &net_ctx, mbedtls_net_send, mbedtls_net_recv, mbedtls_net_recv_timeout); while ((ret = mbedtls_ssl_handshake(&ssl)) != 0) { // 处理握手过程 } ``` 这个示例中,mbedtls_x509_crt_parse函数用于导入服务器端的数字证书,mbedtls_ssl_conf_ca_chain函数用于设置服务器端证书的链,mbedtls_ssl_conf_own_cert函数用于设置客户端证书,mbedtls_ssl_handshake函数用于进行SSL/TLS握手过程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

^白开水^

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值